4月28日,深信服統一身份安全管理系統(IDTrust)的雙因素加固技術(對標等級保護第三級系統相關安全要求)通過了深圳市網安計算機安全檢測技術有限公司的合規性測試,能夠有效在訪問目標資產時直接在網絡設備、安全設備、操作系統上實現雙因素鑒別能力。這意味著深信服IDTrust在業界率先完成目標資產的雙因素認證能力構建,滿足等級保護第三級系統的身份鑒別相關安全要求。
《信息安全技術 網絡安全等級保護基本要求》(GB/T 22239-2019)針對第三級系統的身份鑒別提出:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術實現。《網絡安全等級保護測評高風險判定指引(T/ISEAA 001-2020)》針對第三級系統進一步明確:關鍵網絡設備、安全設備、操作系統如果不滿足雙因素鑒別要求,則可判定為高風險項。
深信服IDTrust提供的雙因素加固方案通過在網絡設備、安全設備、服務器等目標資產構建身份鑒別能力,幫助用戶從源頭上解決合規問題。相比傳統通過先登錄堡壘機再登錄目標資產的方式,深信服IDTrust雙因素實現方案更合規、更安全。
深信服IDTrust雙因素實現方式與傳統堡壘機實現方式對比
1. 傳統采用堡壘機的方式一旦繞過堡壘機仍然只需要一次認證即可登錄,目標資產本身仍然不具備雙因素鑒別的能力,不滿足等級保護對于雙因素合規要求;且堡壘機實現單點登錄后,權限過大,一旦堡壘機被拿下,則全網資產可以任意訪問,這無疑是對運維安全管理的極大威脅。
2. 深信服IDTrust雙因素加固方案通過Radius、LDAP協議直接在目標資產實現雙因素加固,為網絡設備、安全設備、Linux、Windows等全網資產提供雙因素鑒別能力,滿足雙因素合規要求,增強運維管理安全。
除此之外,深信服IDTrust還能為用戶帶來實名制、防暴露等安全價值:
可信身份實名化:IDTrust實現全網OneID實名訪問,所有系統留下的操作日志都可關聯到人,便于威脅分析系統關聯分析和人工威脅溯源。
零認證暴露面:IDTrust使認證服務不直接與用戶通信,攻擊者亦無法直連IDTrust并對其實施攻擊,避免堡壘機等集中管理類設備被拿下后被直接獲取全網資產運維權限。
深信服統一身份安全管理系統(IDTrust)通過構建以身份為中心的認證機制,全面支持各類Web業務、網絡設備、安全設備、操作系統的認證對接,兼容全網資產,幫助用戶建立真正的全網統一認證中心,讓認證更便捷、身份更安全、管理更高效。
自發布以來,已幫助企業、政府、醫療、教育等行業的近百家用戶構建了“全網統一、分區共治”的身份安全基礎設施,實現了基于身份的統一身份認證體系。
未來,深信服IDTrust將緊密貼合各行業用戶對于身份認證的需求,不斷提升認證的便捷性和安全性,讓每一個用戶真切享受到高效、安全的認證體驗。
